Przygotowanie do certyfikacji Systemy Zarządzania Bezpieczeństwem Informacji dr inż. Andrzej Wójcik Przygotowanie do certyfikacji
Cel zajęć Słuchacz poprzez interaktywne ćwiczenia, dotyczące faz wdrożenie w przykładowej firmie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), zostanie przygotowany praktycznie i merytorycznie do certyfikacji przykładowej organizacji podanej semestrze . Celem wykładów połączonych z ćwiczeniami będzie przygotowanie organizacji do audytu certyfikującego SZBI na zgodność ze standardem ISO 27001:2005
Plan zajęć – cz. 1 Wprowadzenie Część 1 – Określenie zakresu i granic Ćwiczenie nr 1. Ustalenie zakresu i granic SZBI Część 2 – Określenie polityki SZBI Ćwiczenie nr 2. Wzajemne zależności procesów Ćwiczenie nr 3. Utworzenie polityki bezpieczeństwa Część 3– Określenie podejścia do szacowania ryzyka Ćwiczenie nr 4. Wycena aktywów Część 4 – Identyfikacja ryzyk Ćwiczenie nr 5. Identyfikacja aktywów Część 5 – Analiza i ocena ryzyk Ćwiczenie nr 6. Obliczenie ryzyka Część 6 – Identyfikacja i ocena opcji postępowania z ryzykami Ćwiczenie nr 7. Wybór zabezpieczeń Część 7 – Przygotowanie deklaracji stosowania
Plan zajęć – cz.2 Część 8– Wdrożenie i eksploatacja SZBI Ćwiczenie nr 8. Plan wdrożenia SZBI Część 9 – Monitorowanie i przegląd SZBI Ćwiczenie nr 8A. Wskaźniki efektywności Część 10– Utrzymywanie i doskonalenie SZBI Ćwiczenie nr 9. Programy szkolenia i uświadamiania Część 11 – Rozdziały 5, 6, 7 i 8 Ćwiczenie nr 9A. Przegląd kierownictwa. Część 12– Zarządzanie ciągłością działania Ćwiczenie nr 10. Plan ciągłości działania Część 13 – Ostateczne wdrożenie Ćwiczenie nr 11. Struktura SZBI Część 14 – Certyfikacja i audyty Ćwiczenie nr 12. Prezentacja przygotowania do certyfikacji SZBI poszczególnych grup
Metodyka prowadzenia ćwiczeń Ćwiczenia przygotowujące do wdrożenia i certyfikacji SZBI na zgodność ISO 27001 Założenia do ćwiczeń Podstawy normatywne Informacje o przebiegu procesu wdrożenia i certyfikacji ISO 27001:2005
WPROWADZENIE
Certyfikacja i akredytacja Certyfikacja - postępowanie, w którym strona trzecia daje pisemne zapewnienie o tym, że produkt, proces lub usługa spełnia określone wymagania. Akredytacja - postępowanie, w którym upoważniona jednostka wydaje formalne oświadczenie, że organizacja lub osoba są kompetentne do wykonywania określonych zadań. Wiąże się to z inspekcją dotyczącą jakości usług wykonywanych przez akredytowaną osobę lub organizację. W Polsce upoważnioną jednostką akredytującą laboratoria oraz różne podmioty gospodarcze i instytucje inspekcyjne jest Polskie Centrum Akredytacji. Akredytacją uczelni wyższych zajmuje się Państwowa Komisja Akredytacyjna
PCA - zadania Polskie Centrum Akredytacji (PCA) jest Centralnym urzędem administracji nadzorowanym przez Ministerstwo Gospodarki i działa w oparciu o ustawę z dnia 30 sierpnia 2002 r. o systemie oceny zgodności. Jest to krajowa jednostka akredytująca. Prowadzi ocenę i potwierdza kompetencje laboratoriów badawczych, laboratoriów wzorcujących, jednostek certyfikujących systemy zarządzania, jednostek certyfikujących wyroby, jednostek certyfikujących osoby, jednostek inspekcyjnych oraz innych podmiotów gospodarczych lub osób działających w systemie oceny zgodności. Podstawę oceny stanowią normy międzynarodowe. Formalnym potwierdzeniem kompetencji jest certyfikat akredytacji.
PCA cd. PCA jest członkiem organizacji międzynarodowych zrzeszających jednostki akredytujące oraz sygnatariuszem porozumień międzynarodowych: IAF (International Accreditation Forum, Inc.) międzynarodowa organizacja skupiająca jednostki akredytujące, jednostki certyfikujące i jednostki kontrolujące na całym świecie; ILAC (International Laboratory Accreditation Cooperation) organizacja skupiająca jednostki akredytujące laboratoria badawcze i wzorcujące na całym świecie; EA (European co-operation for Accreditation) organizacja skupiająca jednostki akredytujące laboratoria, jednostki certyfikujące i jednostki kontrolujące w Europie Obecnie siedziba PCA znajduje się w Warszawie, przy ul. Szczotkarskiej 42
Normalizacja stan prawny Polska Norma (oznaczana symbolem PN) - norma o zasięgu krajowym, przyjęta w drodze konsensu i zatwierdzona przez krajową jednostkę normalizacyjną - Polski Komitet Normalizacyjny (PKN). Normy PN są powszechnie dostępne, ale nie bezpłatne, zaś ich dystrybucję kontroluje PKN. Polskie Normy są opracowywane przez Komitety Techniczne – ciała złożone z ekspertów delegowanych przez instytucje zainteresowane normalizacją. PKN nie jest odpowiedzialny za treść norm i nie jest urzędem tworzącym przepisy techniczne, nadzoruje jedynie zgodność procesów opracowywania norm z przepisami wewnętrznymi PKN. Zatwierdzenie projektu przez PKN jest formalnym stwierdzeniem tej zgodności i nadaniem projektowi statusu normy krajowej.
Normalizacja stan prawny Do 31 grudnia 1993 roku stosowanie PN było obowiązkowe i pełniły one rolę przepisów. Nieprzestrzeganie postanowień PN było naruszeniem prawa. Od 1 stycznia 1994 roku stosowanie PN jest dobrowolne, przy czym do 31 grudnia 2002 istniała możliwość, przez właściwych ministrów i w pewnych przypadkach nakładania obowiązku stosowania PN. Od 1 stycznia 2003 stosowanie PN jest już całkowicie dobrowolne, z wyjątkiem działań wykonywanych ze środków publicznych, podlegających ustawie "Prawo zamówień publicznych", która nakłada obowiązek ich uwzględnienia oraz innych ustaw i rozporządzeń ministrów
Polska Norma a Unia Europejska Od chwili ratyfikacji Traktatu ateńskiego 1 maja 2004 r., na mocy którego Polska stała się członkiem Unii Europejskiej Polski Komitet Normalizacyjny zajmuje się przede wszystkim wprowadzaniem do PN Norm Europejskich, tworzonych przez Europejski Komitet Normalizacyjny. Harmonizacja polskiego systemu norm technicznych była w procesie akcesyjnym jednym z warunków do spełnienia. Normy Europejskie nie są powszechnie dostępne (nie można kupić Normy Europejskiej), są natomiast dostępne w implementacjach krajowych. W każdym kraju członkowskim UE i EFTA (European Free Trade Association - Europejskie Stowarzyszenie Wolnego Handlu) teksty norm krajowych wprowadzających Normy Europejskie są takie same. Polska Norma wprowadzająca Normę Europejską ma oznaczenie PN-EN, niemiecka DIN-EN itd.
Polska Norma a Unia Europejska cd. Od chwili włączenia się w struktury Europejskich Organizacji Normalizacyjnych 1 stycznia 2004, a więc na 5 miesięcy przed akcesją Polski do UE, PKN uczestniczy w procesach tworzenia Norm Europejskich na równych prawach z innymi członkami UE i EFTA. Niezależnie od współpracy z Europejskimi Organizacjami Normalizacyjnymi PKN współpracuje z międzynarodowymi organizacjami normalizacyjnymi: Międzynarodowa Organizacja Normalizacyjna (ISO - International Organization for Standardization) – członek założyciel Międzynarodowa Komisja Elektrotechniczna (IEC - International Electrotechnical Commission) – od 1923 roku. W obszarach nie objętych normalizacją europejską PKN wprowadza normy identyczne z normami międzynarodowymi. Te normy mają odpowiednio oznaczenie PN-ISO i PN-IEC.
Ocena zgodności System oceny zgodności reguluje Ustawa z dnia 30 sierpnia 2002 r. o systemie oceny zgodności (Dz.U. 2002 Nr 166 poz. 1360). Przeprowadzenie oceny zgodności upoważnia przedsiębiorcę do naniesienia na wyrób oznakowania CE, o ile dyrektywa to przewiduje. Oznakowanie CE świadczy o tym, że producent przeprowadził ocenę zgodności oraz że bierze na siebie odpowiedzialność za bezpieczeństwo tego wyrobu.
Certyfikacja systemów zarządzania Certyfikacja SZ jest to działanie trzeciej strony (jednostki niezależnej od organizacji i jej klientów) wykazujące, że zidentyfikowany (e) proces (y) danej organizacji jest (są) zgodny (e) z wyspecyfikowanymi wymaganiami jednej normy lub wielu norm, przyjętej (ych) za podstawę certyfikacji.
Relacje w zakresie oceny zgodności OCENA DRUGIEJ STRONY PIERWSZA STRONA Producent/dostawca usług DRUGA STRONA Odbiorca/Użytkownik OCENA PIERWSZEJ STRONY ZAUFANIE I ZAPEWNIENIE ZGODNOŚCI OCENA TRZECIEJ STRONY TRZECIA STRONA Jednostka certyfikująca
Certyfikacja w informatyce Wprowadzenie Certyfikacja w informatyce
System informatyczny system informatyczny to zbiór powiązanych ze sobą elementów, którego funkcją jest przetwarzanie danych za pomocą sprzętu komputerowego. Do elementów składowych tego systemu zalicza się: sprzęt, oprogramowanie, zasoby osobowe, elementy organizacyjne i informacyjne* *COTS (Commercial Off The Shelf) – oprogramowanie gotowe (z półki). * Na podstawie Certyfikacja w informatyce Jerzy Krawiec Grażyna Ożarek PKN Warszawa 2010
Różnice w budowie jakości oprogramowania i sprzętu IT ….. sprzęt przekazywany klientowi jest zwykle wolny od usterek. Natomiast producenci oprogramowania oddają produkt użytkownikowi, doskonale zdając sobie sprawę z jego słabych stron. * Na podstawie Certyfikacja w informatyce Jerzy Krawiec Grażyna Ożarek PKN Warszawa 2010
Przebieg procesu certyfikacji systemu IT zapytanie ofertowe klienta – wniosek o wycenę kosztów; przegląd wniosku; ofertę na proces certyfikacji; zawarcie umowy na proces certyfikacji; informacje o składzie zespołu audytorskiego; ocenę przygotowawczą (opcjonalnie na życzenie klienta); audyt certyfikujący; raport z audytu; skorygowanie niezgodności, jeśli je stwierdzono; ocenę działań korygujących; decyzję o przyznaniu certyfikatu; rozliczenie kosztów i przekazanie kopii raportu i dokumentacji klientowi; wydanie certyfikatu; nadzór nad systemem.
Cele certyfikacji i warunki jej prowadzenia Na podstawie wniosków z audytu: wydaje się certyfikat, jeżeli istnieją wystarczające dowody na zgodność, nie wydaje się certyfikatu, jeżeli nie ma wystarczających dowodów na zgodność. celem audytu jest pobranie „próbek” z systemu zarządzania jednostki organizacyjnej, więc nie ma 100 % gwarancji zgodności z wymaganiami. Jednostka certyfikująca powinna: mieć publicznie dostępną deklarację, że rozumie znaczenie bezstronności i obiektywizmu, w prowadzeniu certyfikacji systemów zarządzania, zarządzać konfliktami interesów, zapewniać bezstronność i obiektywność swojej działalności.
Certyfikacja systemów zarządzania w informatyce W dziedzinie informatyki proces certyfikacji oparty na Polskich Normach jest prowadzony w odniesieniu do: Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) – zgodnie z wymaganiami normy PN‑ISO/IEC 27001:2007 [4], będącej implementacją normy międzynarodowej ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements; Systemu Zarządzania Usługami Informatycznymi (SZUI) – zgodnie z wymaganiami norm PN‑ISO/IEC 20000-1:2007 [2] i PN-ISO/IEC 20000-2:2007 [3], będących implementacją norm międzynarodowych odpowiednio ISO/IEC 20000-1:2005 Information technology – Service management – Part 1: Specification i ISO/IEC 20000-2:2005 Information technology – Service management – Part 2: Code of practice. W najbliższym czasie certyfikacja systemów zarządzania ciągłością działania (SZCD) na zgodność z normą BS 25999 (odpowiednik ISO 22301). Proces certyfikacji może być prowadzony przez stronę druga lub stronę trzecią, które mają odpowiednie kompetencje (w Polsce akredytacji udziela Polskie Centrum Akredytacji – PCA).
Proces zarządzania programem audytu W programie audytów należy uwzględniać działania niezbędne do zaplanowania rodzajów i liczby audytów, zorganizowania ich oraz odpowiedniego zapewnienia zasobów do ich skutecznego przeprowadzenia w określonym czasie. Instytucja nie ma ograniczeń co do liczby programów audytów. Kierownictwo instytucji powinno ustalić uprawnienia do zarządzania programem audytów.* * Na podstawie Certyfikacja w informatyce Jerzy Krawiec Grażyna Ożarek PKN Warszawa 2010
Standardowy proces audytu Raport z audytu certyfikacyjnego powinien zawierać: podsumowanie przeglądanej dokumentacji; analizę ryzyka dotyczącego organizacji klienta; całkowity czas audytu z uwzględnieniem czasu na: przegląd dokumentacji, ocenę analizy ryzyka, audyt w siedzibie oraz czas opracowania raportu z audytu; metodykę badań stosowanych podczas audytu oraz uzasadnienie jej wyboru.
Podstawy normatywne audytowania (wybór) PN-ISO/IEC 27006:2009 Technika informatyczna – Techniki bezpieczeństwa – Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji PN-ISO/IEC 17021:2007 Ocena zgodności – Wymagania dla jednostek prowadzących auditowanie i certyfikację systemów zarządzania. PN-EN ISO 19011:2003 Wytyczne dotyczące auditowania systemów zarządzania jakością i/lub zarządzania środowiskowego.
Przygotowanie do certyfikacji na zgodność z PN-ISO/IEC 27001:2007 Procedury działania Przygotowanie do certyfikacji na zgodność z PN-ISO/IEC 27001:2007
Model Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnie z PN-ISO/IEC 27001 polityka bezpieczeństwa, organizacja bezpieczeństwa, zarządzanie aktywami, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne i środowiskowe, zarządzanie systemami i sieciami, kontrola dostępu, pozyskiwanie, rozwój i utrzymanie systemów informatycznych, zarządzanie incydentami bezpieczeństwa, zarządzanie ciągłością działania, zapewnienie zgodności z regulacjami wewnętrznymi i prawnymi.
Model PDCA Planuj – Wykonaj – Sprawdź – Działaj – zastosowanie w procesach SZBI Zainteresowane strony Zarządzanie bezpieczeństwem informacji Wymagania i oczekiwania dotyczące bezpieczeństwa informacji Monitorowanie i przegląd SZBI Ustanowienie SZBI Wdrożenie i eksploatacja SZBI Utrzymywanie i doskonalenie SZBI Planuj Wykonaj Sprawdź Działaj
Podstawy normatywne certyfikowania SZBI (wybór) PN-ISO/IEC 27001:2007 Technika informatyczna – Techniki zabezpieczenia – Systemy zarządzania bezpieczeństwem informacji – Wymagania Modele referencyjne wdrażania (dobre praktyki) SZBI: PN-ISO/IEC 17799:2007 Technika informatyczna – Techniki zabezpieczenia - Praktyczne zasady zarządzania bezpieczeństwem informacji
Etapy wdrażania SZBI zgodnego z PN-ISO/IEC 27001 Model (PDCA) Planuj – Wykonaj – Sprawdź – Działaj użyty w ISO/IEC 27001: 2005 Podejście procesowe wdrożenia SZBI: Ustanowienia SZBI (Planuj) Wdrożenia i eksploatacji SZBI (Wykonaj) Monitorowania i przeglądu SZBI (Sprawdź) Utrzymywania i doskonalenia SZBI (Działaj)
Ustanowienie SZBI Określenie zakresu i granic Określenie polityki Określenie podejścia do szacowania ryzyka Identyfikacja ryzyk – aktywa, zagrożenia, podatności i konsekwencji utraty poufności, integralności oraz dostępności aktywów Szacowanie i ocena ryzyk – konsekwencje, realne prawdopodobieństwo nastąpienia naruszenia bezpieczeństwa, wdrożone zabezpieczenia Identyfikacja i ocena wariantów postępowania z ryzykami – zastosowanie odpowiednich zabezpieczeń, zaakceptowanie ryzyk, unikanie ryzyk, przeniesienie ryzyk na inne strony Wybór celów stosowania zabezpieczeń i zabezpieczeń do postępowania z ryzykami (Załącznik A)
Ustanowienie SZBI Uzyskanie akceptacji kierownictwa dla zaproponowanych ryzyk szczątkowych Uzyskanie upoważnienia kierownictwa na wdrożenie i eksploatację SZBI Przygotowanie deklaracji stosowania
Etap pierwszy – planowanie Inwentaryzacja zasobów, która powinna obejmować wszystkie zasoby: fizyczne (tj. budynek, sprzęt komputerowy, biurowy, sejfy itp.), informacyjne w postaci tradycyjnej i elektronicznej (tj. bazy danych klientów, sprawozdania finansowo-księgowe, dane kadrowe, informacje o przetargach itp.), osobowe (pracownicy, eksperci, dostawcy itp.), wartości niematerialne i prawne (tj. licencje, know-how, patenty itp.) zgodnie ze zdefiniowanym zakresem SZBI. Identyfikacja i klasyfikacja danych oraz informacji przetwarzanej w organizacji. Przetwarzane informacje powinny być podzielone na grupy, powiązane ze sobą w logiczny sposób. Grupy te należy oszacować pod względem wartości, jakie stanowią dla organizacji. W zależności od tego, jak są cenne i na jakich atrybutach bezpieczeństwa danych i informacji22 (Rysunek 5.2) szczególnie nam zależy, przypisuje się im odpowiednie poziomy ochrony23. Poziomy ochrony definiują sposób postępowania z danymi i informacją w zakresie ich oznaczania, przechowywania, kopiowania, niszczenia, archiwizowania oraz udostępniania podmiotom wewnętrznym i zewnętrznym. Przyjętą metodę klasyfikacji informacji należy opisać, ponieważ na przestrzeni czasu – z różnych przyczyn – przynależność danej grupy informacji do określonego poziomu ochrony może ulec zmianie. Szczegółowy wykaz grup informacji, wraz z przypisanym im poziomem ochrony oraz właścicielem grupy (osobą, która bezpośrednio odpowiada za daną grupę) warto umieścić w odpowiedniej tabeli. Dane przetwarzane w organizacjach występują w różnych formach – należy wymienić wszystkie objęte bezpieczeństwem informacji, w tym również formę werbalną.
Etap pierwszy – planowanie cd. Analiza ryzyka. Zagrożenie bezpieczeństwa informacji związane jest z pojęciem podatności. Podatność definiuje się jako wrażliwy punkt systemu lub lukę w systemie. Uszkodzenie systemu jest wynikiem wykorzystania istniejącej podatności. Podatność jest związana z zasobami fizycznymi, personalnymi, organizacyjnymi, prawnymi. Niektóre podatności nie zależą od człowieka – związane są z tzw. siłami wyższymi, inne wynikają z błędów ludzkich. Nie wszystkie istniejące podatności zagrażają danym i informacjom w tym samym stopniu. Aby zabezpieczyć te, które z dużym prawdopodobieństwem mogłyby zostać wykorzystane, należy przeprowadzić analizę ryzyka24. Zarządzanie ryzykiem związanym z bezpieczeństwem informacji zostało przedstawione w ISO/IEC 27005. Norma ta m.in. podpowiada, jakiego rodzaju ryzyko i w jakim obszarze może wystąpić, ponadto prezentuje etapy analizy ryzyka, czyli identyfikowanie ryzyka, estymowanie ryzyka oraz ocenę ryzyka, ale także postępowanie z ryzykiem w tym akceptowanie ryzyka. Warto dodać, że każde ryzyko jest tylko częściowo redukowane przez nawet najlepsze zabezpieczenia. Zawsze pozostaje tzw. ryzyko szczątkowe25 i każdy menedżer powinien to sobie uświadomić, a zarząd zaakceptować. Przyjęta w organizacji metoda analizy ryzyka powinna być opisana z uwagi na okresowe powtarzanie badania (z powodu zastosowania nowych zabezpieczeń lub obniżenia poziomu ochrony ryzyka może ulec zmianie). Badanie tą samą metodą umożliwia porównywanie wyników. Wyniki analizy ryzyka powinny być zawarte w formalnym raporcie zaakceptowanym przez zarząd.
Etap pierwszy – planowanie cd. Opracowanie Deklaracji stosowania. Deklaracja stosowania jest istotnym dokumentem z perspektywy PN-ISO/IEC 27001. Dokument ten może być sporządzony na podstawie Załącznika A zawartego w ww. normie, Tablica A.1 – Cele stosowania zabezpieczeń i zabezpieczenia. Ze zbioru zabezpieczeń zawartych w Tablicy A.1 należy wybrać odpowiednie dla danej organizacji cele stosowania zabezpieczeń oraz zabezpieczenia. Deklaracja stosowania to wykaz zabezpieczeń odnoszący się do konkretnego SZBI (funkcjonującego w danej organizacji), który został przygotowany i następnie wdrożony na podstawie PN-ISO/IEC 27001, Załącznik A. Odrzucenie zabezpieczeń z listy Załącznika A powinno być uzasadnione*. Opracowanie procedur. Norma PN-EN/ISO 27001 wymaga ustanowienia udokumentowanych następujących procedur: działań korygujących; działań zapobiegawczych; nadzoru nad dokumentami i zapisami; prowadzenia audytów wewnętrznych. *Należy być przygotowanym na ewentualne pytania z tego zakresu kierowane ze strony audytorów przeprowadzających audyt certyfikacyjny.
Ustanowienie SZBI Określenie zakresu SZBI Określenie polityki SZBI 1 Określenie polityki SZBI Wskazanie systematycznego podejścia do szacowania ryzyka Zidentyfikowanie i ocena wariantów traktowania ryzyka Zidentyfikowanie rodzajów ryzyka Opracowanie deklaracji stosowania Uzyskanie akceptacji kierownictwa dla ryzyk szczątkowych oraz autoryzacji wdrożenia i eksploatacji SZBI 2 3 4 5 6 7 Wskazanie celów stosowania zabezpieczeń oraz zabezpieczeń 8
Część 1 – Określenie zakresu i granic
Zakres i granice Określenie w kategoriach: Charakterystyki działalności Organizacji Lokalizacji Aktywów Technologii Należy podać szczegółowe informacje wraz z uzasadnieniem wszelkich wyłączeń z zakresu
Część 1 – Określenie zakresu i granic SZBI
Zakres i granice cd. Należy uwzględnić obszary wzajemnego oddziaływania z: Innymi systemami Organizacjami Dostawcami będącymi stroną trzecią Zależności (wymagania dotyczące bezpieczeństwa SZBI)
Zakres przykład definicji Usługi zlecone na zewnątrz Cała organizacja Obszar objęty zakresem Kwestie prawne Technika informatyczna Administracja Finanse Zasoby ludzkie Marketing Nadzór Zadowolenie klienta Dostawcy usług utrzymania zasobów Potrzeby klienta Kurierzy Usługodawcy zewnętrzni Badania Ubezpieczenie Operacje Ocena Raport z oceny Zatwierdzenie Oferta Dokumentacja Wydatkowanie Dostawcy Media komunalne
Granice wymiany informacji Połączenia intranetowe z innymi jednostkami organizacyjnymi przedsiębiorstwa, Połączenia ekstranetowe z partnerami biznesowymi, Połączenia zdalne z pracownikami pracującymi poza siedzibą organizacji, Wirtualne sieci prywatne, Sieci klientów, Łańcuchy dostawców, Umowy dotyczące poziomu usług, kontrakty, umowy dotyczące zlecenia usług na zewnątrz, Dostęp stron trzecich / usługodawców zewnętrznych
Umowy o poziom usług, kontrakty Porozumienia np. współpracy Umowy o poziom usług/operacyjna umowa o poziom usług Zasoby ludzkie, marketing, finanse, administracja, usługi prawne, informatyczne i badania Kontrakty Dostawcy usług utrzymania, usługodawcy zewnętrzni, ubezpieczenie, media komunalne i kurierzy, dostęp klientów z zewnątrz do aplikacji elektronicznych/zbiorów danych organizacji
Przedstawiony na piśmie zakres SZBI Przykład 1 Świadczenie usług finansowych, takich jak pożyczki i leasing przez centralę mieszczącą się w Azji i ma oddziały w całej Europie. Obejmuje to świadczenie usług wspomagających, takich jak nadzór, zmianę harmonogramu spłat oraz inkaso płatności. Głównym składnikiem aktywów firmy jest jego siła robocza a sprzęt komputerowy i oprogramowanie służą do wspomagania działalności.
Przykład 2 definicji zakresu SZBI Zakres i granice stosowania SZBI w firmie XXX Firma XXX dla zapewnienia bezpieczeństwa informacji zdefiniowała zakres Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnie z wymaganiami normy PN-EN ISO/IEC 27001, który obejmuje: lokalizację główną w Warszawie przy ul. ZZZ pod nazwą Centrum Przetwarzania Danych. Lokalizację pomocniczą w Łodzi przy ul. WWW pod nazwą Zapasowe Centrum Przetwarzania Danych W wymienionych lokalizacjach realizowane są usługi kolokacji i administracji serwerowniami, poprzez wykorzystanie następujących procesów biznesowych: Podstawowych dotyczących eksploatacji i utrzymania oraz planowania i rozwoju, w tym m.in.: usługi kolokacji; usługi nadzoru nad procesami transmisji danych; usługi dostępu do Internetu; nadzoru i monitoringu parametrów środowiskowych kolokacji; transmisji danych do styku z węzłami zewnętrznymi; usługi dzierżawy włókien do węzłów zewnętrznych; procesy gwarantujące ciągłość działania w pomieszczeniach kolokacyjnych; zarządzanie bezpieczeństwem fizycznym i środowiskowym. Pomocniczych – wsparcia organizacyjno-technicznego, pozyskiwania klienta, nadzoru nad zgodnością z prawem, zarządzania zasobami ludzkimi; Nadzoru i kontroli – wynikające z zaleceń normatywnych ISO 27001. Celem realizacji opisanych procesów, udostępniane są niezbędne aktywa informacyjne wymagane przez zapisy normatywne i przydzielone decyzją Kierownictwa po akceptacji wyników procesu szacowania ryzyka. Zakres SZBI obejmuje wszystkie niezbędne procesy biznesowe podlegające celom i zabezpieczeniom zgodnie z ISO27001 i mają zastosowanie dla klientów zewnętrznych, dostawców usług, stron trzecich i innych organizacji, jak i dla usług realizowanych na potrzeby wewnętrzne firmy XXX. Wykluczenia Z zakresu Systemu Zarządzania Bezpieczeństwem Informacji wykluczone są procesy techniczne zachodzące w pozostałych węzłach telekomunikacyjnych sieci YYY wraz z powiązaną z nimi infrastrukturą zewnętrzną, oraz procesy biznesowe realizowane w oparciu o wykluczoną infrastrukturę.
Ćwiczenie nr 1. Ustalenie zakresu i granic SZBI Przygotowanie do certyfikacji - ćwiczenia Ćwiczenie nr 1. Ustalenie zakresu i granic SZBI
Polecenia do wykonania w ćwiczeniu nr 1: Na podstawie dostarczonego opisu firmy GeoHosting S.A. należy rozważyć jakie wyroby lub usługi są dostarczane. (a) Przygotować prezentację graficzną zakresu i granic w sposób omówiony lub ukazany na slajdach. Ukazać powiązania między obszarami wewnątrz i na zewnątrz zakresu. (b) Utworzyć pisemny zakres, który będzie odpowiadał prezentacji graficznej. (c) Utworzyć topologię schemat systemów informatycznych objętych podanym przez siebie zakresem. (d) Utworzyć listę sprzętu komputerowego, urządzeń sieciowych i oprogramowania objętego podanym przez siebie zakresem. (e) Należy określić wszelkie umowy, porozumienia (MOU), umowy o poziom usług (SLA) i operacyjne umowy o poziom usług (OLA), które dotyczyłyby podanego przez siebie zakresu. Przedstawić odpowiedź w prezentacji PowerPoint.
Etap drugi – wdrożenie i eksploatacja SZBI Etap wdrożenia i eksploatacji SZBI powinno się rozpocząć od opracowania harmonogramu działań wdrażających. W tym celu należy przygotować Plan postępowania z ryzykiem. Dokument Plan postępowania z ryzykiem przedstawia zabezpieczenia, które będą zastosowane w celu ograniczenia zidentyfikowanego ryzyka, zwykle poprzez odwołanie się do zabezpieczeń zaproponowanych w PN-ISO/IEC 27001. Plan ten szczegółowo określa podejmowane działania, wskazując rodzaj ryzyka, termin wdrożenia zabezpieczeń ograniczających to ryzyko oraz osoby odpowiedzialne za wykonanie zadań. Działania te powinny być realizowane zgodnie z dokumentacją SZBI przygotowaną na podstawie PN-ISO/IEC 27001 oraz PN-ISO/IEC 17799. Wdrożenie harmonogramu29 wymaga współpracy ze wszystkimi komórkami organizacyjnymi, a w szczególności takimi jak: IT, finansowa, kadrowa, prawna, administracyjno-gospodarcza. Podstawowym celem tej współpracy jest wprowadzenie zabezpieczeń w formie fizycznej (zamki, kłódki), informatycznej (hasła, identyfikatory, zapory), mentalnej (szkolenia uświadamiające) i organizacyjnej (zarządzenia, procedury). Należy także zdefiniować mierniki umożliwiające ocenę skuteczności zabezpieczeń oraz porównywanie tej skuteczności w określonych odstępach czasu. Całość prac powinna być koordynowana przez pełnomocnika ds. bezpieczeństwa informacji.
Etap trzeci – monitorowanie i przegląd SZBI Utrzymanie realnego bezpieczeństwa informacji opartego na wdrożonym SZBI wymaga ciągłego monitorowania działań. Monitorowanie działań ma na celu wykrywanie błędów w wynikach przetwarzania, wykrywanie incydentów lub prób naruszenia bezpieczeństwa oraz zapewnienie przestrzegania wdrożonych procedur. Okresowe przeglądy SZBI mają za zadanie weryfikację skuteczności działania zabezpieczeń pod kątem spełnienia wymagań bezpieczeństwa, sprawdzenie aktualności oszacowanego wcześniej ryzyka (na skutek różnych przyczyn może ono ulec zmniejszeniu lub zwiększeniu). Zalecane się także przeprowadzanie planowych audytów wewnętrznych, podczas których mogą być analizowane różnego rodzaju zapisy z funkcjonowania systemu. Zapisy te stanowią świadectwo potwierdzające zgodność z wymaganiami oraz skuteczność funkcjonowania SZBI. Między innymi potwierdzają (w szczególności przed audytorami), że ustanowiony i wdrożony system sprawdza się w praktyce i jest efektywny (umożliwia osiąganie założonych celów).
Etap czwarty – utrzymywanie i doskonalenie SZBI Utrzymywanie bezpieczeństwa informacji na oczekiwanym poziomie wymaga stałych działań doskonalących. Działania te mogą być podejmowane na podstawie danych z monitoringu funkcjonującego SZBI oraz raportów z audytów wewnętrznych i zewnętrznych. Ujawnienie ewentualnych słabości umożliwi podjęcie działań korygujących w postaci nowych zabezpieczeń. Działania doskonalące warto opierać nie tylko na wnioskach wyciąganych z własnych doświadczeń, ale także na doświadczeniach innych organizacji (wszędzie gdzie to możliwe warto stosować benchmarking). Przed główną oceną – oceną certyfikacyjną – można podjąć decyzję o przeprowadzeniu audytu sprawdzającego sprawność funkcjonowania SZBI. Zadanie to najlepiej zlecić zewnętrznemu konsultantowi. Ocena przedcertyfikacyjna jest to kompleksowe, dokładne badanie mające na celu upewnienie się, że wdrożony SZBI zawiera wszystkie niezbędne zabezpieczenia*. Podczas tego audytu m.in. Szczególną uwagę zwraca się na dokument Deklaracja stosowania oraz Plan postępowania z ryzykiem. Zatem przed wszczęciem procesu certyfikacyjnego jednostka certyfikująca będzie wymagać od klienta posiadania udokumentowanego i wdrożonego SZBI. *Warto jednak pamiętać o istnieniu tzw. ryzyka szczątkowego, którego – mimo zainstalowania najlepszych zabezpieczeń – nie jesteśmy w stanie wyeliminować.
Proces certyfikacji SZBI Etap wstępny certyfikacji – czynności przygotowawcze Etap pierwszy audytu certyfikacyjnego SZBI – badanie dokumentów Etap drugi audytu certyfikującego SZBI – w siedzibie klienta Etap trzeci audytu certyfikującego SZBI – wydanie certyfikatu
Etap wstępny certyfikacji – czynności przygotowawcze Przed przystąpieniem do audytu certyfikacyjnego organizacja powinna przygotować ogólne informacje dotyczące SZBI oraz kopie dokumentacji SZBI wymaganej przez PN-ISO/IEC 27001, tj.: politykę bezpieczeństwa informacji, udokumentowane procedury, opis metodyki szacowania ryzyka i raport z szacowania ryzyka, plan postępowania z ryzykiem, zapisy dotyczące realizacji procesów, incydentów (np. raporty audytowe, wypełnione formularze), opis pomiaru skuteczności zabezpieczeń, Deklarację Stosowania, niezbędne dokumenty związane.
Etap wstępny certyfikacji – czynności przygotowawcze cd. Czas trwania audytu uzależniony jest m.in. od: rozmiaru SZBI (np. liczby wykorzystywanych systemów informacyjnych, liczby użytkowników, liczby platform informatycznych, liczby sieci itp.); złożoności SZBI (np. sytuacji ryzykownych w SZBI, poziomu krytyczności32 systemów informatycznych, rodzaju przetwarzanych danych, liczby i rodzaju transakcji biznesowych, zastosowania pracy na odległość, rozmiaru dokumentacji SZBI); wymagań bezpieczeństwa informacji dyktowanego regulacjami prawnymi lub wynikających; z zawartych kontraktów ze względu na rodzaj prowadzonej działalności biznesowej; a także liczby lokalizacji; rozległości i różnorodności technik wybranych do wdrożenia różnych składowych SZBI (rodzaje zastosowanych zabezpieczeń, dokumentacji, sieci, np. sieci wewnętrznych, zewnętrznych, bezprzewodowych); outsourcingu i stopnia uzależnienia od tych usług.
Etap pierwszy audytu certyfikacyjnego SZBI – badanie dokumentów W trakcie przeglądu dokumentacji audytorzy zwracają uwagę na: zgodność dokumentacji z wymaganiami, zastosowanie zapisów dla wybranych zabezpieczeń, dostępność dokumentacji, zarządzanie dokumentacją (nadzór), a także szczegółowo przeglądają treść losowo wybranej próbki dostarczonej dokumentacji. Pierwszy etap kończy się przekazaniem klientowi decyzji o możliwości przystąpienia do audytu certyfikacyjnego lub prośbą o uzupełnienie dokumentacji.
Struktura dokumentów wymagana przez SZBI
Etap drugi audytu certyfikującego SZBI – w siedzibie klienta Audytorzy szukają także potwierdzenia, że oceniany SZBI jest dostosowany do wymagań PN-ISO/IEC 27001. W tym celu m.in.: przeprowadzają wywiady na temat funkcjonowania SZB w praktyce; sprawdzają informacje zwrotne z działań korygujących i zapobiegawczych; ponownie oceniają wcześniej zidentyfikowane ryzyko, badając, czy zastosowana metoda dostarcza porównywalnych i powtarzalnych wyników; oceniają wdrożenie i skuteczność wybranych zabezpieczeń w stosunku do założonych celów; porównują, czy wdrożone zabezpieczenia są zgodne z wybranymi w Deklaracji stosowania. Warto dodać, że zabezpieczenia znajdujące się poza SZBI nie będą audytowane. Z prowadzonych działań i na podstawie zebranych dowodów zespół audytorski sporządza raport, który będzie podstawą do podjęcia decyzji o przyznaniu certyfikatu.
Etap trzeci audytu certyfikującego SZBI – wydanie certyfikatu Zespół orzekający jednostki certyfikacyjnej po zapoznaniu się z raportem z audytu certyfikacyjnego podejmuje decyzję w sprawie przyznania certyfikatu. Podjęcie pozytywnej decyzji jest formalnym potwierdzeniem spełnienia kryteriów certyfikacyjnych. Jednostka certyfikacyjna wydaje wtedy organizacji klienta dokumenty certyfikacyjne w postaci listu lub certyfikatu, podpisane przez upoważnioną osobę. W dokumentach tych jest wyszczególniona norma PN-ISO/IEC 27001, na zgodność z którą SZBI został certyfikowany, oraz jest określony zakres przyznanej certyfikacji. Jak wspomniano w rozdziale 4, certyfikat SZBI powinien zawierać odwołanie do określonej wersji Deklaracji stosowania.
Cel uzyskania certyfikatu SZBI przez organizację – przykład certyfikatu SZBI
Część 2 – Określenie polityki SZBI
Proces oparty na modelu Planuj – Wykonaj – Sprawdź – Działaj Zbiór działań wzajemnie powiązanych lub wzajemnie oddziałujących, które przekształcają wejścia w wyjścia.
Procesy Główne procesy / działy mieszczące się w zakresie Procesy wspomagające działy mieszczące się w zakresie, ale należące do organizacji
Przykład modelu procesu Wejście Zainteresowane strony Wymagania i oczekiwania Cele procesu/kluczowe wskaźniki procesu Gestor procesu Zmiany Specyfikacje/kryteria Zasoby Informacje Metody Nie Przegląd Wyjście osiągnięte Wyjście Zainteresowane strony Bezpieczeństwo informacji podlegające zarządzaniu Tak Zapisy stanowiące dowody
Wzajemne zależności procesów Podejście całościowe Najwyższe kierownictwo Mierzenie wyników biznesowych Proces Proces Gestor procesu mierzenie skuteczności/ efektywności procesu
Ćwiczenie nr 2. Wzajemne zależności procesów Przygotowanie do certyfikacji - ćwiczenia Ćwiczenie nr 2. Wzajemne zależności procesów
Polecenia do wykonania w ćwiczeniu nr 2: Proszę wytypować podstawowe procesy biznesowe realizowane w analizowanej firmie oraz nadać im priorytet Główne Pomocnicze (Czas: 15 minut)
Polityka SZBI Określenie zobowiązania kierownictwa i przedstawienie podejścia organizacji do zarządzania bezpieczeństwem informacji Określenie bezpieczeństwa informacji, celów i zakresu Deklaracja zamiarów kierownictwa, wspomagania celów i zasad Zawarcie struktury wyznaczania celów stosowania zabezpieczeń i zabezpieczeń Krótkie wyjaśnienie zasad polityki bezpieczeństwa i norm Zgodność z wymaganiami wynikającymi z ustaw, przepisów wykonawczych i umów Wymagania dotyczące kształcenia, szkolenia i uświadamiania w zakresie bezpieczeństwa informacji Zarządzanie ciągłością działania Skutki nieprzestrzegania polityki bezpieczeństwa informacji Określenie ogólnej i szczegółowej odpowiedzialności Powołania dokumentacji wspomagającej politykę Zakomunikowane w całej organizacji
Rodzaje stosowanych polityk Wewnętrzna Polityka bezpieczeństwa zakomunikowana wszystkim pracownikom Poziomy polityki – więcej niż jeden Pod-polityki (podsystemy SZBI) np. bezpieczeństwa IT, fizycznego Zewnętrzne Określenie zarządzania przez organizację bezpieczeństwem informacji wobec zainteresowanych stron, tzn. klientów
Główne cechy polityki bezpieczeństwa informacji Łatwa do zrozumienia Możliwa do zastosowania Łatwa do zrealizowania Możliwa do wyegzekwowania Spełniać cele biznesowe
Ćwiczenie nr 3. Utworzenie polityki bezpieczeństwa
Polecenia do wykonania w ćwiczeniu nr 3: Sporządzić politykę bezpieczeństwa dla firmy utworzonej w ćwiczeniu 1. Treść należy ograniczyć do: (a) Zaangażowania kierownictwa (b) Podejścia organizacji do zarządzania ryzykiem dla bezpieczeństwa informacji (c) Krótkiego wyjaśnienia odpowiednich pod-polityk bezpieczeństwa (d) Określenia szczegółowej odpowiedzialności (e) Obowiązującego ustawodawstwa Przedstawić odpowiedź w prezentacji PowerPoint. (Czas: 45 minut)
Część 3– Określenie podejścia do szacowania ryzyka
Szacowanie ryzyka w SZBI Szacowanie ryzyka stanowi podstawę funkcjonowania SZBI Na 1-szym semestrze studiów zostały zaprezentowane podstawy metodyczne szacowania ryzyka w zarządzaniu bezpieczeństwa informacji zgodnie z PN-ISO/IEC 27005:2010 Technika informatyczna – Techniki bezpieczeństwa – Zarządzanie ryzykiem w bezpieczeństwie informacji.
Podejście do szacowania ryzyka (1) Określenie odpowiednich metod szacowania ryzyka Opracowanie kryteriów akceptacji ryzyk Określenie akceptowalnych poziomów ryzyka (5.1f) Zapewnienie, aby szacowanie ryzyka pozwalało uzyskiwać porównywalne i powtarzalne wyniki O metodzie decyduje firma Można zastosować dowolną metodę ISO/IEC TR 13335-3 (:Wytyczne zarządzania bezpieczeństwem w technice informatycznej: Metody zarządzania bezpieczeństwem w technice informatycznej) Różne metody szacowania ryzyka
Podejście do szacowania ryzyka (2) Metoda musi obejmować ryzyka związane z: Aspektami organizacyjnymi Bezpieczeństwo osobowe Procesy biznesowe Procesy i procedury związane z eksploatacją i utrzymaniem Kwestie wynikające z ustaw, przepisów wykonawczych i umów Urządzenia służące do przetwarzania informacji
Podejście do szacowania ryzyka (3) Szacowanie ryzyka stanowi wymaganie obowiązkowe Nie wymaga używania zautomatyzowanych programów narzędziowych Wielu użytkowników zyskuje na korzystaniu z narzędzi w przypadku: konieczności ponownego szacowania ryzyk informacje dotyczące ryzyka wymagają aktualizacji zagrożenia, podatności i aktywa gdy metoda i podejście zależy od SZBI Techniki zależą od poziomów zapewnienia powtarzalności
Narzędzia i metody Dostępnych jest wiele metod Dozwolona jest każda metoda System opracowany przez organizację Narzędzia dostępne w handlu
Cechy, których należy oczekiwać od narzędzia do szacowania ryzyka (1) Narzędzie powinno być w stanie: Zbierać dane Analizować dane Dostarczyć zapisu wyników Zapewnić powtarzalność
Niektóre narzędzia i metody szacowania ryzyka @Risk Analyse des Risques Programmes AnalyZ AROME+ BDSS (Bayesian Decision Support System) BIS RISK ASSESSOR Buddy System COBRA (Consultative, Objective and Bi-functional Risk Analysis) CONTROL-IT CRAMM (CCTA Risk Analysis and Management Method) CRITI-CALC DDIS (Datenschutz-und-datensicherheits Informationssystem) IS CASE LAVA (Los Alamos Vulnerability Analysis) LRAM & ALRAM STIKI – Outguard Risk Management (www.stiki.is) MARION MELISA MINIRISK PREDICT PSICHE RANK-IT RISAN Risiko RiskCALC RiskPAC RiskWatch Security By Analysis (SBA) SISSI XRM (eXpert Risk Management)
Rodzaje zabezpieczeń i cele stosowania zabezpieczeń Deklaracja stosowania Rodzaje zabezpieczeń i cele stosowania zabezpieczeń
Wybór celów stosowania zabezpieczeń i zabezpieczeń do postępowania z ryzykami Wybór i wdrożenie celów stosowania zabezpieczeń i zabezpieczeń W celu spełnienia wymagań określonych w procesie szacowania ryzyka i postępowania z ryzykiem Należy uwzględnić kryteria akceptacji ryzyk (4.2.1c) Wymagania wynikające z ustaw, przepisów wykonawczych i umów Wybór celów stosowania zabezpieczeń i zabezpieczeń z Załącznika A
Cele stosowania zabezpieczeń i zabezpieczenia (1) Polityka bezpieczeństwa A.6 A.15 Organizacja bezpieczeństwa informacji Zgodność A.7 A.14 Zarządzanie aktywami Zarządzanie ciągłością działania Cele stosowania zabezpieczeń i zabezpieczenia Bezpieczeństwo osobowe Zarządzanie incydentami związanymi z bezpieczeństwem informacji A.8 A.13 Przejęcie, rozwój i utrzymanie systemów informacyjnych Bezpieczeństwo fizyczne i środowiskowe Kontrola dostępu Zarządzanie systemami i sieciami A.9 A.12 A.11 A.10
Wybór zabezpieczeń (1) Dodatkowe cele stosowania zabezpieczeń i zabezpieczenia: organizacja może uznać, że konieczne są dodatkowe cele zabezpieczania i zabezpieczenia Nie wszystkie zabezpieczenia będą właściwe w każdej sytuacji: Należy uwzględnić lokalne uwarunkowania środowiskowe lub technologiczne W formie odpowiadającej każdemu potencjalnemu użytkownikowi w organizacji
Wybór zabezpieczeń (2) Przegląd już wdrożonych zabezpieczeń Usunąć Udoskonalić Wdrożenie dodatkowych zabezpieczeń
Wybór zabezpieczeń (3) Należy uwzględnić szereg czynników: Łatwość użycia danego zabezpieczenia Przejrzystość dla użytkownika Pomoc dla użytkowników w wykonywaniu ich funkcji Względna siła zabezpieczeń Rodzaje pełnionych funkcji Zapobieganie, odstraszanie, wykrywanie, odtwarzanie, naprawianie, monitorowanie, uświadamianie
Zmniejszenie i akceptacja ryzyka Akceptacja ryzyka – decyzja o akceptacji ryzyka Określenie akceptowalnego poziomu ryzyka Stosowanie odpowiednich zabezpieczeń w celu: zmniejszenia prawdopodobieństwa zagrożenia lub podatności powodującej ryzyko zapewnienia spełnienia wymagań prawnych lub biznesowych zmniejszenia ewentualnych konsekwencji w przypadku wystąpienia ryzyka wykrycia niepożądanych zdarzeń, reagowania i odtwarzania w przypadku ich wystąpienia
Ryzyko szczątkowe Ryzyko pozostałe po postępowaniu z ryzykiem Należy oszacować na ile zabezpieczenia zmniejszą ryzyko Zmniejszone ryzyko szczątkowe Akceptowalne lub nieakceptowalne Wdrożyć więcej zabezpieczeń Konieczna może być akceptacja Uzyskanie akceptacji kierownictwa dla zaproponowanych ryzyk szczątkowych
Zatwierdzenie kierownictwa Uzyskanie upoważnienia kierownictwa na wdrożenie i eksploatację SZBI
Ćwiczenie nr 7. Wybór zabezpieczeń Przygotowanie do certyfikacji - ćwiczenia Ćwiczenie nr 7. Wybór zabezpieczeń
Polecenia do wykonania w ćwiczeniu nr 7: Korzystając z „zasobów ludzkich, fizycznych, informacji” z ćwiczenia 6 jako przedmiotu, wybierz odpowiednie zabezpieczenia z ISO 27001: 2005 Załącznik A do zarządzania ryzykami określonymi w ćwiczeniu 6. (b) Określ w jaki sposób zabezpieczenia powinny być wdrożone (należy wziąć uwagę perspektywę krótko- i długoterminową). (c) Na podstawie własnego doświadczenia utwórz listę wszelkich dodatkowych zabezpieczeń, które nie są ujęte w ISO 27001:2005 oraz inne źródła wymagające uwzględnienia. (d) Utworzyć plan postępowania z ryzykiem wyszczególniający w jaki sposób wdrażanie zabezpieczeń będzie zarządzane, np. Zarządzanie systemami i sieciami Zapewnienie zasobów i zarządzanie nimi Zarządzanie zmianą. Ćwiczenie to można przygotować w dowolnym formacie, np. MS Word, Excel, chociaż ostateczną odpowiedź można przedstawić w formacie PowerPoint, jeśli możliwe. (Czas: 1 ¾ godziny)
Część 7 – Przygotowanie deklaracji stosowania
Deklaracja stosowania (2) Zawartość deklaracji stosowania Cele stosowania zabezpieczeń i zabezpieczenia, które zostały wybrane Przyczyny wyboru Obecnie wdrożone cele stosowania zabezpieczeń i zabezpieczenia Wyłączenie jakichś celów zabezpieczania i zabezpieczeń podanych w Załączniku A wraz z uzasadnieniem ich wyłączenia Deklaracja stosowania podaje zestawienie decyzji dotyczących postępowania z ryzykiem. Uzasadnienie wyłączeń stanowi kontrolę skrośną pozwalającą stwierdzić, że żadne zabezpieczenia nie zostały w niezamierzony sposób pominięte.
Deklaracja stosowania (3) Dlaczego jakiegoś zabezpieczenia nie wdrożono w pełni? Ryzyko – nieuzasadnione przez narażenie na ryzyko Budżet – ograniczenia finansowe Środowisko – wpływ na zabezpieczenia, klimat, przestrzeń itp. Technologia – niektóre środki nie są wykonalne pod względem technicznym Kultura – ograniczenia o charakterze socjologicznym Czas – niektórych wymagań nie można wdrożyć teraz Nie dotyczy Inne?
Część 8– Wdrożenie i eksploatacja SZBI
Wdrożenie i eksploatacja SZBI Sformułowanie planu postępowania z ryzykiem Realizacja planu postępowania z ryzykiem Wdrożenie wybranych zabezpieczeń Określenie, w jaki sposób mierzona będzie skuteczność wybranych zabezpieczeń lub grup zabezpieczeń Przeprowadzenie szkolenia i programów uświadamiania Zarządzanie eksploatacją SZBI Zarządzanie zasobami SZBI Wdrożenie procedur i innych zabezpieczeń umożliwiających szybkie wykrywanie i reagowanie w przypadku incydentów związanych z bezpieczeństwem
Plan wdrożenia Konieczne jest utworzenie planu wdrożenia Uzgodnienie czasu wykonania Określenie głównych etapów Przeprowadzenie działań Uwzględnienie zasobów (wewnętrznych / zewnętrznych) Upewnienie się, czy wszystkie części SZBI zostały skutecznie wdrożone Testowanie systemu Certyfikacja
Realizacja planu postępowania z ryzykiem Aby osiągnąć określone cele stosowania zabezpieczeń Uwzględnić Finansowanie Przydzielenie ról i obowiązków Wdrożenie wybranych zabezpieczeń w celu osiągnięcia celów stosowania zabezpieczeń
Mierzenie skuteczności wybranych zabezpieczeń lub grup zabezpieczeń Należy określić w jaki sposób pomiary te będą używane Skuteczność zabezpieczenia aktywów Uzyskanie porównywalnych i powtarzalnych wyników Mierzenie skuteczności zabezpieczeń pozwala kierownikom i pracownikom ustalić, w jakim stopniu zabezpieczenia osiągają zaplanowane cele stosowania zabezpieczeń.
Przeprowadzenie programu szkolenia i uświadamiania (1) Należy zapewnić odpowiednie szkolenie Pracownikom (zatrudnionym w pełnym, niepełnym wymiarze) mieszczącym się w zakresie Kierownictwu Pracownikom technicznym Pracownikom nietechnicznym Pracownikom spoza zakresu, którzy działają w połączeniach organizacyjnych z tym, których zakres obejmuje Klientom Dostawcom
Przeprowadzenie programu szkolenia i uświadamiania (2) Rozumienie i przestrzeganie polityki oraz celów bezpieczeństwa informacji Zrozumienie odpowiedzialności za bezpieczeństwo Jak postępować w odniesieniu do: zgłaszania incydentów związanych z bezpieczeństwem, słabych punktów stosowania ochrony antywirusowej wykonywania kopii zapasowych Przestrzegania obowiązujących przepisów prawa lokalnego i międzynarodowego prawidłowego używania sprzętu firmy prawidłowego korzystania z poczty elektronicznej i Internetu itp.
Plan wdrożenia ID Nazwa zadania Czas trwania Początek Koniec Poprzednik 15 list 22 list 29 list M T W T F S S M T W T F S S M T W 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
Ćwiczenie nr 8. Plan wdrożenia SZBI Przygotowanie do certyfikacji - ćwiczenia Ćwiczenie nr 8. Plan wdrożenia SZBI
Polecenia do wykonania w ćwiczeniu nr 8: Utwórz szablon planu wdrożenia zgodnie z tym, co ukazano na poprzednich slajdach. Ćwiczenie to można przygotować w dowolnym formacie, np. MS Excel, Projekt itp. (Czas: 40 minut)
Część 9 – Monitorowanie i przegląd SZBI
Monitorowanie i przegląd SZBI Opracowanie procedur szybkiego reagowania na incydenty naruszenia bezpieczeństwa informacji 1 Wykonywać przeglądy poziomu ryzyka szczątkowego oraz akceptowalnego Wykonywać przeglądy ISMS realizowane przez kierownictwo (przynajmniej raz w roku) 2 3 4 5 Regularne przeglądy skuteczności SZBI – mierniki efektywności Przeprowadzanie wewnętrznych audytów SZBI
Monitorowanie i przegląd SZBI (1) Wykonywanie procedur monitorowania i stosowanie innych zabezpieczeń: Niezwłoczne wykrywanie błędów Należy niezwłocznie identyfikować próby i faktycznie dokonane naruszenia bezpieczeństwa oraz incydenty związane z bezpieczeństwem Działania związane z bezpieczeństwem przekazane pracownikom lub wykonywane przez dział informatyczny przebiegają zgodnie z oczekiwaniami Pomoc w wykrywaniu zdarzeń związanych z bezpieczeństwem zapobieganie incydentom związanym z bezpieczeństwem Ustalenie czy działania podjęte w celu wyeliminowania naruszeń bezpieczeństwa były skuteczne
Monitorowanie i przegląd SZBI (2) Wykonywanie regularnych przeglądów skuteczności SZBI Polityka i cele SZBI Zabezpieczenia Uwzględnić: Audyty bezpieczeństwa Incydenty Skuteczne mierzenie Sugestie i informacje zwrotne od zainteresowanych stron Mierzenie skuteczność zabezpieczeń Weryfikacja spełniania wymagań dotyczących bezpieczeństwa
Monitorowanie i przegląd SZBI (3) Przegląd szacowania ryzyka w zaplanowanych odstępach czasu Poziom ryzyka szczątkowego Określone ryzyko akceptowalne Uwzględnić zmiany w: Organizacji Technologii Celach i procesach biznesowych Zidentyfikowanych zagrożeniach Skuteczność wdrożonych zabezpieczeń Wydarzenia zewnętrzne (uwarunkowania wynikające z ustaw i przepisów wykonawczych, zmiany w zobowiązaniach określonych w zawartych umowach, zmiany klimatu społecznego)
Monitorowanie i przegląd SZBI (4) Przeprowadzenie audytów wewnętrznych SZBI w zaplanowanych odstępach czasu Podejmowanie przeglądów SZBI realizowanych przez kierownictwo w regularnych odstępach czasu Aktualizacja planów bezpieczeństwa Monitorowanie i przegląd działań Dokonywanie zapisów działań i zdarzeń Wpływ na skuteczność lub funkcjonowanie SZBI
Ćwiczenie nr 8A. Wskaźniki efektywności
Część 10– Utrzymywanie i doskonalenie SZBI
Utrzymywanie i doskonalenie SZBI Wdrożenie określonych ulepszeń Podjęcie odpowiednich działań zapobiegawczych i korygujących Przekazywanie zainteresowanym stronom informacji o działaniach i udoskonaleniach Upewnienie się, że ulepszenia spełniają zamierzone cele
Rozdziały 4 (cd.) i 5 - 8 4.3 Wymagania dotyczące dokumentacji 5 Odpowiedzialność kierownictwa 6 Wewnętrzne audyty SZBI 7 Przegląd SZBI realizowany przez kierownictwo 8 Doskonalenie SZBI
Rozdział 4.3 Wymagania dotyczące dokumentacji 4.3.1 Postanowienia ogólne Określone minimum dokumentacji 4.3.2 Nadzór nad dokumentami Procedura określająca działania kierownictwa 4.3.3 Nadzór nad zapisami Ustanowienie i utrzymywanie w celu zapewnienie dowodu zgodności z wymaganiami Chronione i nadzorowane Wymagania wynikające z ustaw, przepisów wykonawczych i umów Czytelne, łatwe do identyfikacji i odszukania Zabezpieczenia udokumentowane i wdrożone Realizacja procesów Wystąpienie istotnych incydentów związanych z bezpieczeństwem
wynikające z przepisów wykonawczych Struktura SZBI Dokument wysokiego szczebla nakreślający ogólny zamiar. Polityka bezpieczeństwa W tym prawne wynikające z przepisów wykonawczych Normy Wytyczne Procedury Zamiar Polityki Polityki specjalne dotyczące i wspomagające deklarację polityki Zasady i regulaminy które są obowiązkowe Wymagania Struktura rozumienia i pracy Narzędzia do realizacji Sposoby realizacji polityk Sposób realizacji
Przykład Polityka – tworzenie kopii zapasowych na komputerach przenośnych Deklaracja polityki Wyjaśnienie: Tworzenie kopii zapasowych przechowywanych w urządzeniach do przetwarzania danych ma na celu ochronę ich przed utratą Kwestie bezpieczeństwa informacji, które należy uwzględnić przy realizacji polityki obejmują: Dane przechowywane na laptopach mogą zostać utracone ze względu na wewnętrzne uszkodzenie (systemu); dane takie mogą mieć istotne znaczenie – szczególnie dla użytkownika danego komputera Odnośny cel stosowania zabezpieczeń i zabezpieczenie podane w ISO/IEC 27001:2005 A.11.7 – Komputery przenośne i praca na odległość Konieczne jest regularne tworzenie kopii zapasowych informacji i danych przechowywanych w laptopach lub komputerach przenośnych. Obowiązkiem użytkownika jest zapewnienie, że jest to wykonywane regularnie
Przykład - Polityka czystego biurka Deklaracja polityki: Organizacja oczekuje, że wszyscy pracownicy przestrzegać będą polityki czystego biurka Wyjaśnienie: Wobec powszechnego obecnie otwartym planu biur, można nieumyślnie pozostawić poufne materiały na wierzchu. Informacje można odczytać z dokumentów pozostawionych na biurku, szczególnie gdy jego właściciel oddalił się od niego. Polityka czystego biurka stanowi skuteczne zabezpieczenie. Kwestie bezpieczeństwa informacji, które należy uwzględnić przy realizacji polityki obejmują: Materiały mogą być zabrane z biurka lub obszaru roboczego i skopiowane lub skradzione. Odnośne zabezpieczenie podane w ISO/IEC 27001:2005 A.11.3.3 – Polityka czystego biurka i czystego ekranu
Ćwiczenie nr 9. Programy szkolenia i uświadamiania Przygotowanie do certyfikacji - ćwiczenia Ćwiczenie nr 9. Programy szkolenia i uświadamiania
Polecenia do wykonania w ćwiczeniu nr 9: Należy ustalić Początkowe szkolenie uświadamiające i uświadomienie do wdrożenia ISO 27001:2005 w swojej organizacji opracowanej w ćwiczeniu 1. (a) Należy uwzględnić zapewnienie szkolenia różnym pracownikom: Zatrudnionym (w pełnym, niepełnym wymiarze) mieszczącym się w zakresie Kierownictwu Pracownikom technicznym Pracownikom nietechnicznym Pracownikom spoza zakresu, którzy działają w połączeniach organizacyjnych z tym, których zakres obejmuje Klientom Dostawcom Usługodawcom zewnętrznym (b) Określić tematy, które byłyby objęte szkoleniem uświadamiającym dla każdego rodzaju pracowników. Uwaga: Organizacje będą ogólnie zapewniały dodatkowe szkolenia w zakresie określonych polityk i procedur wraz z rozwojem planu wdrożenia. Przedstaw odpowiedzi w prezentacji PowerPoint (Czas: 1 godzina)
Część 11 – Rozdziały 5, 6, 7 i 8
Utrzymanie i doskonalenie SZBI Wdrażanie w SZBI zidentyfikowanych udoskonaleń 1 Podejmowanie działań korygujących i naprawczych 2 3 4 Informowanie zainteresowanych stron o wynikach działań Zapewnienie osiągania celów zabezpieczeń
Rozdział 5 Odpowiedzialność kierownictwa 5.1 Zaangażowanie kierownictwa, Świadectwo zaangażowania 5.2 Zarządzanie zasobami 5.2.1 Zarządzanie zasobami 5.2.2 Szkolenie, uświadamianie i kompetencje
Szkolenie, uświadamianie i kompetencje Określenie koniecznych kompetencji Zapewnienie szkolenia lub podjęcie innych działań Zatrudnienie kompetentnego personelu Ocena skuteczności podjętych działań Utrzymywanie zapisów
Rozdział 6 Audyt wewnętrzny SZBI Audyty w zaplanowanych odstępach czasu Status i znaczenie procesów i obszarów Przegląd poprzednich audytów Audytorzy Wybrani w sposób zapewniający obiektywność i bezstronność Nie audytują swojej własnej pracy Udokumentowana procedura Podjęcie działań w celu wyeliminowania niezgodności i ich przyczyn Działania doskonalące obejmujące weryfikację
Rozdział 7 Przegląd SZBI realizowany przez kierownictwo 7.1 Postanowienia ogólne Przegląd w zaplanowanych odstępach czasu 7.2 Dane wejściowe przeglądu 7.3 Dane wyjściowe przeglądu
Rozdział 8 Doskonalenie SZBI 8.1 Ciągłe doskonalenie 8.2 Działania korygujące 8.3 Działania zapobiegawcze
Ćwiczenie nr 9A. Przegląd kierownictwa.
Część 12– Zarządzanie ciągłością działania
ISO/IEC 27001: 2005 Zabezpieczenia do planowania ciągłości działania Zabezpieczenie A.14 Proces zarządzania ciągłością prowadzenia działalności Ciągłość działania i szacowanie ryzyka Tworzenie i wdrażanie planów ciągłości działania Struktura planowania ciągłości działania Testowanie, utrzymanie i ponowna ocena planów ciągłości działania
Typowe fazy katastrofy Kryzys W ciągu pierwszych kilku godzin po rozpoczęciu incydentu. Na przykład, spowodowany przez trwające przez jakiś czas uszkodzenie pomieszczeń, ograniczony dostęp do budynku, niedziałające systemy itp. Reagowanie w sytuacji awaryjnej Może trwać przez kilka minut lub kilka godzin po fazie kryzysu. W tym czasie sytuacja musi być poddana ocenie a decyzje należy podejmować szybko w celu przyspieszenia odtwarzania itp. Odtwarzanie Może ono trwać kilka miesięcy po katastrofie. Kończy się w chwili, gdy możliwe jest ponowne rozpoczęcie normalnej eksploatacji. W czasie tej fazy zasadnicze lub główne operacje rozpoczną się i będą trwać w formacie odtwarzania. Przywracanie Warunki przywrócone do normalnego stanu. Planowanie do tej fazy może rozpocząć się w ciągu kilku dni od samego incydentu. W przypadku nastąpienia fizycznego uszkodzenia pomieszczeń, ta faza nie nastąpi. Planowanie ciągłości działania może skutecznie zapobiec chaosowi w kryzysie
Etapy zarządzania ciągłością działania Zrozumienie swojego biznesu Utrzymanie i audyt Strategie ciągłości działania Zarządzanie programem Opracowanie i wdrożenie planu ciągłości działania Utworzenie i osadzenie kultury ciągłości działania
Fazy planowania ciągłości działania Szacowanie skutków biznesowych Wprowadzenie i zarządzanie przedsięwzięciem Strategia odtwarzania Wdrożenie Opracowanie i rozwijanie planu Testowanie Utrzymanie
Zarządzanie ciągłością działania PLAN – Czy macie plan? Zawierający to, co ma być wykonane oraz kto jest odpowiedzialny za działania, szkolenie pracowników itp. Mający na celu określenie postępowania w przypadku zakłócenia działania lub podobnych incydentach. Pomagający uniknąć poważnych zakłóceń działania, naruszeń bezpieczeństwa i straty usług WYKONAJ – Czy wdrożyliście swój plan? SPRAWDŹ – Czy regularnie monitorujecie, testujecie, wykonujecie przegląd i sprawdzacie swój plan w celu zapewnienia, że jest on aktualny i może spełnić określone wymagania biznesowe? DZIAŁAJ – Czy nowelizujecie swój plan? Czy wprowadzacie ulepszenia w celu odzwierciedlenia zmian w planie?
Zarządzanie ciągłością działania – proces ciągły 1. Zaangażowanie najwyższego szczebla 8. Testowanie, przećwiczenie i utrzymywanie planu 2. Zainicjowanie procesu zarządzania 7. Opracowanie i wdrożenie planu 3. Identyfikacja zagrożeń i ryzyk 4. Zarządzanie ryzykami w ramach zarządzania ryzykiem 6. Opracowanie strategii 5. Analiza skutków biznesowych
Opracowanie i wdrożenie planu ciągłości działania 7. Aktualizować i często ćwiczyć. Określić odbiorców, którzy będą potrzebowali tego planu w kryzysie 2. Unikać podawania nazwisk poszczególnych osób. Zadania i funkcje są ważniejsze. 6. Ukazać proste oświadczenia dla mediów. Unikać „bez komentarza” 3. Zachować prostotę. Używać Schematów bloków, jeśli tylko możliwe – najważniejsze dane najpierw. 5. Utworzyć listę macierzy odtwarzania, ukazując gdzie i kiedy funkcje biznesowe przechodzą w kryzys. 4. Odniesienie do wydziałowych planów odtwarzania w podsumowaniu
Proces planowania ciągłości działania Proces planowania ciągłości działania obejmuje: Identyfikację i ustalenie hierarchii ważności procesów biznesowych Określenie potencjalnego wpływu na proces biznesowy różnych poważnych incydentów i scenariuszy katastrof Identyfikację i uzgodnienie wszystkich obowiązków i ustaleń na wypadek awarii Dokumentację uzgodnionych procedur, procesów i harmonogramu przywracania Kształcenie pracowników w zakresie realizacji planów Ćwiczenie i testowanie planów Utrzymywanie planów
Struktura Procedury postępowania w wypadku awarii – opisują bezpośrednie działania, które powinny być podjęte w następstwie poważnego incydentu w celu ochrony życia ludzi i procesów biznesowych. Procedury przywracania do stanu normalnego – opisujące działania, które należy podjąć w celu zapewnienia ciągłości usług bez normalnych urządzeń techniki informatycznej, pomieszczeń, personelu i telekomunikacji. Procedury wznowienia działalności – opisujące działania, które należy podjąć w celu przeniesienia działalności biznesowej i usług wspomagających w alternatywnym ośrodku.
Zasoby, które należy uwzględnić Budynki i pomieszczenia Personel Sprzęt komputerowy Systemy operacyjne i aplikacje komputerowe Dane, przechowywane na nośnikach magnetycznych, optycznych lub innych Terminale Systemy komunikacji głosowej lub transmisji danych i sieci Procesy wykonywane ręcznie, które są uzależnione od funkcji informatycznych, bądź je wspomagają Zapisy niezwiązane z informatyką o znaczeniu krytycznym
Aktualizacje planów Przykłady zmian, które mogą powodować konieczność aktualizacji planów: Zakup nowych urządzeń Uaktualnienie systemów operacyjnych Zmiany kadrowe lub organizacyjne Zmiany adresu lub numerów telefonicznych Nowe lub wycofane procesy biznesowe Zmiany w ustawodawstwie Znowelizowane lub nowe praktyki operacyjne
Ćwiczenie nr 10. Plan ciągłości działania Przygotowanie do certyfikacji - ćwiczenia Ćwiczenie nr 10. Plan ciągłości działania
Polecenia do wykonania w ćwiczeniu nr 10: Za pomocą slajdów opracować plan ciągłości działania dla organizacji określonej w ćwiczeniu 1. Rozważyć strukturę planu ciągłości działania i zasoby Określić wymagania minimalne, które należy zawrzeć w planie ciągłości działania organizacji Kto będzie gestorem (gestorami) Gdzie będzie on przechowywany i dlaczego Przedstaw odpowiedzi w prezentacji PowerPoint. (Czas: 45 minut)
Część 13 – Ostateczne wdrożenie
Wdrożenie SZBI – podsumowanie (1) Określenie zakresu i granic, polityki bezpieczeństwa Określenie podejścia do szacowania ryzyka Określenie ryzyk aktywa/zagrożenia/podatności/skutki Analiza i ocena ryzyk Identyfikacja i ocena opcji postępowania z ryzykami Wybór celów i zabezpieczeń do postępowania z ryzykami Uzyskanie akceptacji ryzyka szczątkowego przez kierownictwo Uzyskanie upoważnienia kierownictwa na wdrożenie i eksploatację SZBI Przygotowanie deklaracji stosowania Sformułowanie i wdrożenie planu postępowania z ryzykiem
Wdrożenie SZBI – podsumowanie (2) Wdrożenie wybranych zabezpieczeń w celu osiągnięcia celów stosowania zabezpieczeń Mierzenie skuteczności wybranych zabezpieczeń lub grup zabezpieczeń Przeprowadzenie szkolenia i kształcenia Zarządzanie operacjami i zasobami Wdrożenie podpolityk lub procedur Monitorowanie i przegląd SZBI Skuteczność SZBI i zabezpieczeń Szacowanie ryzyka Wewnętrzne audyty SZBI i przegląd realizowany przez kierownictwo Utrzymywanie i doskonalenie SZBI Działania korygujące i zapobiegawcze Upewnienie się, że ulepszenia spełniają zamierzone cele
Struktura SZBI Elektronicznego: Autonomiczny Intranet Ręczny: Papierowy Rozważyć w jaki sposób nadzorować: Dystrybucję Aktualizacje Autoryzację
Ćwiczenie nr 11. Struktura SZBI Przygotowanie do certyfikacji - ćwiczenia Ćwiczenie nr 11. Struktura SZBI
Polecenia do wykonania w ćwiczeniu nr 11: Opracować strukturę SZBI w prezentowanej firmie (Czas: 15 minut)
Ostatnie kroki wdrożenia Szkolenie Początkowe działania uświadamiające Działania ciągłe Polityki specjalne Wewnętrzne audyty SZBI Kompetentni audytorzy (wewnętrzni/zewnętrzni) Proces audytu i raport Przegląd realizowany przez kierownictwo Regularnie wykonywany Utrzymywanie odpowiedniego zakresu Określane są udoskonalenia w procesie SZBI
Ponowna ocena systemu Szacowanie ryzyka i postępowanie z ryzykiem nie są wydarzeniami jednorazowymi SZBI powinien określać w jaki sposób system będzie poddawany ponownej ocenie i aktualizacji
Część 14 - Certyfikacja
Część 14 - Certyfikacja i audyty Audyt wstępny (opcjonalny) Etap 1 – audyt dokumentacji Etap 2 – audyt wdrożenia Audyty nadzorcze Audyt re-certyfikujący co 3 lata Przed certyfikacją Po certyfikacji
Etap 1 – audyt dokumentacji Zwykle przeprowadzany u audytowanego Polega na badaniu struktury SZBI pod względem zgodności z ISO/IEC 27001:2005 Polega na badaniu polityki, zakresu, szacowania ryzyka, zarządzania ryzykiem, wyborem zabezpieczeń i deklaracją stosowania Audytorzy prawdopodobnie nie będą dogłębnie badać określonych procedur, ale będą oczekiwać odpowiedniego „oznakowania” wskazującego na normy, procedury i instrukcje robocze. Etap 1 – Stanowi istotną część procesu audytu do certyfikacji wg ISO/IEC 27001:2005
Etap 2 – audyt wdrożenia Prześledzenie niezgodności z etapu 1 – audytu dokumentacji Weryfikacja wdrożenia i eksploatacji SZBI Bardziej skoncentrowany Dogłębny Audytor wiodący dokonuje rekomendacji, ale nie podejmuje ostatecznej decyzji dotyczącej certyfikacji, która zostaje potwierdzona przez biuro
Certyfikacja Wydany zostaje Państwa certyfikat ISO/IEC 27001: 2005 Certyfikat zachowuje ważność przez okres trzech lat, z wyjątkiem zawieszenia, wycofania lub anulowania. Certyfikat zawiera pewne sformułowania dotyczące zakresu oraz przywołuje deklarację stosowania dostępną w czasie audytu
Audyt nadzorczy Jednostka certyfikująca Przeprowadza audyt nadzorczy zwykle dwa razy w roku Ma on na celu objęcie zakresu certyfikacji w cyklu trzyletnim Przeprowadzone mogą być audyty pośrednie (np. audyty specjalne)
Re-certyfikacja co trzy lata Okres ważności certyfikatu wynosi trzy lata Pod koniec tego okresu jednostka certyfikująca może przedłużyć certyfikat na kolejny okres trzech lat pod warunkiem pozytywnej re-certyfikacji
Wymagania dotyczące czasu audytu Uzależniony od szeregu różnych czynników: Wielkości lub zakresu działań objętych audytem Liczby lokalizacji objętych zakresem Funkcjami biznesowymi objętych zakresem Możliwe będzie uwzględnienie innych certyfikacji np. ISO 9001:2000
Rejestr certyfikatów Międzynarodowy rejestr akredytowanych certyfikatów ISO/IEC 27001:2005 Lista organizacji, którym przyznano certyfikat Utworzona we współpracy z międzynarodową siecią jednostek certyfikujących, DTI (Wlk. Brytania) i ISMS International User Group (IUG) Zawartość: katalog z profilem kraju, zakresy SZBI, Certyfikaty wg kraju Witryna internetowa: www.iso27001certificates.com
Zakres certyfikacji (przykładowy) Zarządzanie bezpieczeństwem informacji działalności gospodarczej obejmującej doradztwo w dziedzinie bezpieczeństwa i dostarczanie programów narzędziowych służących do zapewnienia bezpieczeństwa. Jest to zgodne z deklaracją stosowania, wyd. 1.00 Przykład 2 Usługi sieciowe (operator Internetu, hosting), projektowanie i budowa sieci, tworzenie witryn internetowych – wszystkie te usługi zgodnie z deklaracją stosowania, wer. 3.01
Przygotowanie do certyfikacji - ćwiczenia Ćwiczenie nr 12. Prezentacja przygotowania do certyfikacji SZBI poszczególnych grup
Polecenia do wykonania w ćwiczeniu nr 12: Należy sprawdzić, czy wszyscy mają kopię prezentacji grup na prywatnej karcie pamięci lub komputerze. (Czas: zgodnie z potrzebą).
Przygotowanie certyfikacji Założenia do ćwiczeń
Opis działalności firmy Firma GeoHosting S.A. z siedzibą w mieście o dużym znaczeniu gospodarczym dla kraju, działa na rynku od 1992 roku. Początek jej działalności to usługi integracyjne w zakresie teleinformatyki oraz przygotowywanie na indywidualne zamówienia Klientów (dużych firm korporacyjnych) specjalistycznego oprogramowania zarządzającego dla kadr, finansów oraz projektami. Od 2002 roku firma zainwestowała w usługi hostingowe i kolokacji. GeoHosting S.A. stał się operatorem telekomunikacyjnym obsługującym przede wszystkim klientów biznesowych. Serwerownie znajdują się w na terenie siedziby firmy, ale GeoHosting S.A. zainwestował w budowę i wyposażenie nowych serwerowni ukierunkowanych wyłącznie pod klientów biznesowych, z lokalizacją w dwóch dużych miastach w Polsce. Firma korzysta z infrastruktury czołowych operatorów, ale także posiada i swoje zasoby telekomunikacyjne. W ubiegłym roku firma miała blisko 4,5 mld zł przychodów i 415 mln zł zysku netto, część z zysku została przeznaczona na rozbudowę infrastruktury telekomunikacyjnej GeoHosting S.A. sprzedaje swoje usługi na terenie całego kraju. Na kluczowych rynkach firma działa przez swoich partnerów, podpisując z nimi umowy na wyłączność na danym obszarze. W Polsce sprzedaż K prowadzą mobilni handlowcy podlegające bezpośrednio Departamentowi Sprzedaży (DS). W roku obecnym firma planuje przejęcie jednego z czołowych operatorów telekomunikacyjnych na Węgrzech i Słowacji, którzy mają silną pozycję na tamtejszych rynkach. Operacja ta oraz rozwój na dotychczasowych rynkach pozwoli podwoić wartość sprzedaży usług firmy.
DZIĘKUJĘ ZA UWAGĘ
Powrót